إذا كنت مهتمًا بمهنة أمن المعلومات ، فسيكون برنامج شهادة GIAC GCIA هو الدورة التدريبية الأكثر أهمية بالنسبة لك. تعتبر دورة شهادة GCIA الأكثر تحديًا ولكنها أيضًا الدورة التدريبية الأكثر مكافأة.
لا يوجد مسار أفضل يمكنك اتخاذه إذا كنت ترغب في معرفة كيفية إجراء صيد فعال للتهديدات لاكتشاف أنشطة يوم الصفر على شبكتك قبل أن تصبح عامة. يجب ألا يحصل الأشخاص الذين يرغبون في فهم تنبيهات مراقبة الشبكة التي تم إنشاؤها بواسطة أداة جاهزة للاستخدام على شهادة GCIA.
ومع ذلك ، فإن شهادات GCIA مخصصة لأولئك الذين يرغبون في الحصول على نظرة عميقة لما يحدث في شبكاتهم اليوم ويشتبهون في المشكلات الخطيرة التي لا تبلغ عنها أدواتهم في الوقت الحالي.
ما هي شهادة محلل التسلل المعتمد (GCIA) من GIAC؟
إن شهادة محلل التسلل المعتمد (GCIA) من GIAC عبارة عن أوراق اعتماد محايدة من البائعين مصممة للتحقق من صحة معرفة الممارس ومهاراته في اكتشاف التسلل وتحليله. مع شهادة GIAC GCIA ، ستكون قادرًا على تكوين ومراقبة أنظمة الكشف عن التطفل ، وقراءة وتفسير وتحليل حركة مرور الشبكة وملفات السجل ، وفهم ما يحدث على الشبكة.
من أجل الحصول على شهادة GIAC GCIA ، سيُطلب منك اجتياز اختبار مراقب يغطي مختلف أهداف الاختبار ، مثل تحليل حركة مرور الشبكة وإنشاء التوقيع وتحليل السجل ومعالجة الحوادث. هناك 106 أسئلة متعددة الخيارات في اختبار GIAC GCIA. يستغرق إكمال اختبار شهادة GCIA أربع ساعات. لاجتياز اختبار GCIA ، فأنت بحاجة إلى درجة 67٪ على الأقل.
فيما يلي المجالات التي يغطيها اختبار GCIA:
- أساسيات تحليل حركة المرور وبروتوكولات التطبيق
- IDS مفتوحة المصدر: Snort و Zeek
- الطب الشرعي لحركة المرور في الشبكة والمراقبة
من يمكنه الحصول على شهادة GCIA؟
- الممارسون المسؤولون عن كشف التسلل
- محللو النظام
- محللو الأمن
- مهندسو الشبكات
- مسؤولو الشبكة
- التدريب العملي على مديري الأمن
سوف تتعلم المهارات التالية
- تحليل حركة المرور على موقعك لتجنب أن يصبح عنوانًا رئيسيًا آخر
- كيفية تحديد تهديدات اليوم صفر التي لم تحددها أي أداة مراقبة للشبكة
- مراقبة الشبكة: كيفية وضعها وتخصيصها وضبطها
- كيفية فرز تنبيهات الشبكة ، خاصة أثناء وقوع حادث
- تحديد ما حدث ومتى حدث ومن فعل ذلك بإعادة بناء الأحداث
- خبرة عملية في الطب الشرعي للشبكة والكشف والتحليل
- TCP / IP وبروتوكولات التطبيقات الشائعة لاكتساب نظرة ثاقبة لحركة مرور الشبكة ، مما يتيح لك التمييز بين حركة المرور العادية وغير العادية
- مراقبة الشبكات القائمة على التوقيع: المزايا والعيوب
- مراقبة الشبكات السلوكية للارتباط الآلي على مستوى المؤسسة وكيفية استخدامها بشكل فعال
- أداء نمذجة التهديدات الفعالة لأنشطة الشبكة
- ترجمة نمذجة التهديد إلى قدرات الكشف عن التهديدات في يوم الصفر
- تحليل بيانات التدفق في الشبكات التقليدية والمختلطة والشبكات السحابية لتعزيز الكشف
ستكون قادرا على
- تكوين وتشغيل Snort و Suricata
- إنشاء وكتابة قواعد Snort و Suricata و FirePOWER فعالة وكفؤة.
- تكوين وتشغيل Zeek مفتوح المصدر لتوفير إطار عمل لتحليل حركة المرور المختلطة.
- إنشاء نصوص ارتباط آلية للبحث عن التهديدات في Zeek.
- فهم طبقات مكون TCP / IP لتحديد حركة المرور العادية وغير العادية لتحديد التهديد.
- استخدم أدوات تحليل حركة المرور لتحديد علامات التسوية أو التهديد النشط.
- تنفيذ التحليلات الجنائية للشبكة للتحقيق في حركة المرور لتحديد TTPs والعثور على التهديدات النشطة.
- اقتطاع الملفات والأنواع الأخرى من المحتوى من حركة مرور الشبكة لإعادة بناء الأحداث.
- إنشاء مرشحات BPF لفحص سمة مرور معينة على نطاق انتقائي.
- عبوات حرفية مع سكابي.
- استخدم أدوات NetFlow / IPFIX للعثور على تشوهات سلوك الشبكة والتهديدات المحتملة.
- استخدم معرفتك بهندسة الشبكة والأجهزة لتخصيص موضع مستشعرات مراقبة الشبكة وشم حركة المرور من السلك.
منهج امتحان شهادة GCIA
SEC503.1: مراقبة وتحليل الشبكة: الجزء الأول
يوفر هذا القسم تغطية عميقة لحزمة بروتوكولات TCP / IP ، مما يعدك لمراقبة واكتشاف التهديدات بشكل أفضل في السحابة أو البنية التحتية التقليدية. تسمى الخطوة الأولى دورة "الحزم كلغة ثانية". من أجل تحديد التهديدات وتحديد TTPs ، ينغمس الطلاب على الفور في تحليل الحزمة منخفض المستوى لجمع الحزم المستخدمة في هجمات يوم الصفر والهجمات الأخرى. خلال هذا القسم ، سيتعلم الطلاب أساسيات اتصال TCP / IP ، ونظرية البتات ، والبايت ، والثنائي ، والسداسي العشري ، ومعنى كل حقل وسلوكه المتوقع. يتعلم الطلاب استخدام أدوات مثل Wireshark و Tcpdump لتحليل حركة المرور.
مفاهيم TCP / IP
- لماذا من الضروري فهم رؤوس الرزم والبيانات؟
- نموذج اتصالات TCP / IP
- تغليف / فك تغليف البيانات
- بتات وبايت وثنائي وعشري
مقدمة إلى Wireshark
- الإبحار حول Wireshark
- ملفات تعريف Wireshark
- فحص خيارات إحصائيات Wireshark
- إعادة تجميع تيار
- البحث عن محتوى في الحزم
الوصول إلى الشبكة / طبقة الارتباط: الطبقة 2
- مقدمة عن طبقة الارتباط
- معالجة بروتوكول القرار
- هجمات ودفاعات الطبقة الثانية
طبقة IP: الطبقة 3
- IPv4
- دراسة المجالات النظرية والتطبيقية
- المجاميع الاختبارية وأهميتها ، خاصة فيما يتعلق بمراقبة الشبكة والتهرب
- التجزئة: حقول عنوان IP المتضمنة في التجزئة ، وتكوين الأجزاء ، وهجمات التجزئة الحديثة
UNIX Command Line Processing
- معالجة الحزم بكفاءة
- تحليل وتجميع البيانات للإجابة على الأسئلة والبحث في شبكة
- استخدام التعبيرات النمطية لتحليل أسرع
SEC503.2: مراقبة وتحليل الشبكة: الجزء الثاني
يختتم هذا القسم جزء "الحزم كلغة ثانية" من الدورة التدريبية ويمهد الطريق لمناقشة أعمق بكثير قادمة. سيكتسب الطلاب فهمًا عميقًا لبروتوكولات طبقة النقل الأولية المستخدمة في نموذج TCP / IP ، بالإضافة إلى كيفية تأثير الاتجاهات الحديثة على استخدامها. في هذا الدرس ، ستتعلم كيفية تحليل حركة المرور الخاصة بك باستخدام Wireshark و TCPdump. باستخدام مرشحات العرض Wireshark و Berkeley Packet Filters ، ينصب التركيز على تصفية البيانات واسعة النطاق وصولاً إلى حركة المرور ذات الأهمية من أجل اكتشاف التهديدات في البنية التحتية التقليدية والقائمة على السحابة. يغطي هذا القسم أيضًا الابتكارات الحديثة التي لها آثار خطيرة جدًا على مراقبة الشبكة الحديثة ، بما في ذلك معنى ووظيفة كل حقل رأس.
مرشحات العرض Wireshark
- فحص بعض الطرق العديدة التي يسهّل بها Wireshark إنشاء مرشحات العرض
- تكوين مرشحات العرض
كتابة مرشحات BPF
- انتشار BPF وفائدة المرشحات
- تنسيق مرشحات BPF
- استخدام اخفاء البت
TCP
- دراسة المجالات النظرية والتطبيقية
- تشريح الحزم
- المجاميع الاختبارية
- التحفيز والاستجابة العادي وغير الطبيعي لبرنامج التعاون الفني
- أهمية إعادة تجميع TCP لنظام IDS / IPS
UDP
- دراسة المجالات النظرية والتطبيقية
- التحفيز والاستجابة UDP
ICMP
- دراسة المجالات النظرية والتطبيقية
- متى يجب عدم إرسال رسائل ICMP
- استخدامها في رسم الخرائط والاستطلاع
- ICMP عادي
- ICMP ا لخبيثة
IP6
- أساسيات
- تحسينات على IP6
- بروتوكولات البث المتعدد وكيف يتم الاستفادة منها بواسطة IP6
- تهديدات IP6
تطبيق في العالم الحقيقي: البحث عن شبكة
- من هم كبار المتحدثين؟
- بماذا يتواصل الناس؟
- ما هي الخدمات التي تعمل على شبكتنا؟
- ما هو نوع حركة المرور بين الشرق والغرب؟
SEC503.3: الكشف عن التهديدات والاستجابة لها بناءً على التوقيع
يعتمد القسم الثالث من الدورة التدريبية على القسمين الأولين من خلال النظر في بروتوكولات طبقة التطبيق. باستخدام هذه المعرفة ، ستتعلم كيفية اكتشاف التهديدات في السحابة ونقطة النهاية والشبكات المختلطة والبنى التحتية التقليدية. سيتعرف الطلاب أيضًا على أداة صياغة الحزم القوية المستندة إلى Python Scapy ، والتي تتيح للطلاب معالجة الحزم وإنشائها وقراءتها وكتابتها. يمكنك استخدام Scapy لصنع الحزم لاختبار أداة المراقبة أو قدرة الكشف عن جدار الحماية. على وجه الخصوص ، يكون هذا مهمًا عند إضافة ثغرة أمنية تم الإعلان عنها حديثًا إلى قاعدة مراقبة الشبكة التي أنشأها المستخدم.
سكابي
- صياغة الرزم وتحليلها باستخدام Scapy
- كتابة الحزم على الشبكة أو ملف Pcap
- قراءة الحزم من الشبكة أو من ملف Pcap
- استخدامات عملية Scapy لتحليل الشبكات والمدافعين عن الشبكة
متقدم Wireshark
- تصدير الويب والكائنات الأخرى المدعومة
- استخراج محتوى التطبيق التعسفي
- تحقيق Wireshark في حادث
- يستخدم Wireshark العملي لتحليل نشاط بروتوكول SMB
- تشارك
مقدمة إلى Snort / Suricata
- تكوين الأدوات والتسجيل الأساسي
- كتابة قواعد بسيطة
- استخدام الخيارات المشتركة
فعالية Snort / Suricata
- محتوى أكثر تقدمًا في كتابة قواعد فعالة حقًا للشبكات الكبيرة جدًا
- فهم كيفية كتابة قواعد مرنة لا يمكن تجاوزها أو التهرب منها بسهولة
- نهج Snort / Suricata "اختر مغامرتك الخاصة" لجميع الأنشطة العملية
- الفحص التدريجي لبرمجيات إكسبلويت المتطورة ، والتحسين التدريجي لقاعدة لاكتشاف جميع أشكال الهجوم
- تطبيق Snort / Suricata على بروتوكولات طبقة التطبيق
DNS
- معمارية ووظيفة DNS
- DNSSEC
- التطورات الحديثة في DNS ، مثل EDNS (DNS الموسع)
- DNS الضار ، بما في ذلك تسمم ذاكرة التخزين المؤقت
- إنشاء قواعد لتحديد أنشطة تهديد DNS
بروتوكولات مايكروسوفت
- SMB / CIFS
- تحديات الكشف
- تطبيق عملي Wireshark
HTTP الحديث
- تنسيق البروتوكول
- لماذا وكيف يتطور هذا البروتوكول
- تحديات الكشف
- التغييرات مع HTTP2 و HTTP3
كيفية البحث عن بروتوكول
- استخدام QUIC كدراسة حالة
- مقارنة بين GQUIC و IETF QUIC
تطبيق في العالم الحقيقي: تحديد حركة الاهتمام
- البحث عن بيانات التطبيق الشاذة داخل مستودعات الحزم الكبيرة
- استخراج السجلات ذات الصلة
- البحث والتحليل التطبيقي
SEC503.4: بناء أنظمة الكشف عن التهديدات في يوم الصفر
يفحص القسم 4 بعمق أنظمة كشف التسلل الحديثة والمستقبلية بناءً على المعرفة المكتسبة من الأقسام الثلاثة الأولى. من خلال الجمع بين كل ما تعلمه الطلاب حتى الآن ، يمكن للطلاب الآن تصميم قدرات اكتشاف التهديدات التي تفوق بكثير Snort / FirePower / Suricata وجدران الحماية من الجيل التالي من خلال الكشف السلوكي المتقدم باستخدام Zeek (أو Corelight).
هندسة الشبكات
- تجهيز الشبكة لتجميع حركة المرور
- مراقبة الشبكة واستراتيجيات نشر الكشف عن التهديدات
- أجهزة لالتقاط حركة المرور
مقدمة في مراقبة الشبكة على نطاق واسع
- وظيفة أدوات مراقبة الشبكة
- دور المحلل في الكشف
- عملية تحليل التدفق
زيك
- مقدمة في Zeek
- أوضاع تشغيل Zeek
- إخراج Zeek وكيفية استخدامه
- التحليل العملي للتهديدات ونمذجة التهديدات
- زيك للكتابة
- استخدام Zeek لمراقبة السلوكيات ذات الصلة وربطها
نظرية تهرب IDS / IPS
- نظرية المراوغات ودلالاتها في طبقات البروتوكول المختلفة
- أخذ عينات من التهرب
- ضرورة الكشف عن الهدف
- تهرب مراقبة يوم الصفر
SEC503.5: الكشف عن التهديدات على نطاق واسع ، والطب الشرعي ، والتحليلات
ينصب التركيز في هذا القسم على التدريبات العملية بدلاً من التعليمات الرسمية. يتم تناول ثلاثة مجالات رئيسية في هذا القسم ، بدءًا من التحليل واسع النطاق المستند إلى البيانات والتجميع باستخدام NetFlow و IPFIX. من خلال خلفية البروتوكول المكتسبة من القسم الأول من الدورة التدريبية ، يمكن استخدام NetFlow لإجراء البحث عن التهديدات في السحابة وعلى البنى التحتية التقليدية. بعد تغطية الأساسيات ، سينتقل الطلاب إلى تحليل أكثر تقدمًا واكتشاف التهديدات باستخدام وبناء استعلامات NetFlow مخصصة. يقدم المجال الثاني تحليلات حركة المرور ، ومواصلة موضوع التحليل على نطاق واسع. يتم تقديم مجموعة متنوعة من الأدوات والتقنيات الخاصة بمطاردة التهديدات في يوم الصفر ، وبعد ذلك تتاح للطلاب الفرصة لوضعها موضع التنفيذ. ستغطي الدورة أيضًا التطبيقات المتطورة للذكاء الاصطناعي والتعلم الآلي لاكتشاف الحالات الشاذة. يتضمن الجزء الأخير من هذا القسم الطب الشرعي للشبكة والحوادث التي أعيد بناؤها. سيعمل كل طالب من خلال ثلاث حوادث عملية مفصلة باستخدام الأدوات والتقنيات التي تعلموها طوال الدورة.
استخدام سجلات تدفق الشبكة
- تحليل البيانات الوصفية NetFlow و IPFIX
- استخدام SiLK لإيجاد الأحداث المهمة
- تحديد الحركة الجانبية عبر بيانات NetFlow
- بناء استعلامات NetFlow مخصصة
صيد التهديد والتصور
- مناهج مختلفة لأداء مطاردة تهديدات الشبكة على نطاق المؤسسة في الشبكات
- تمارين تتضمن مقاربات لتصور سلوكيات الشبكة لتحديد الانحرافات
- تطبيقات علم البيانات لتبسيط العمليات الأمنية وأداء البحث عن التهديدات
- تجربة نظام قائم على الذكاء الاصطناعي لتحديد الانحرافات في بروتوكول الشبكة على شبكة محمية
مقدمة في التحليل الجنائي للشبكة
- نظرية التحليل الجنائي للشبكة
- مراحل الاستغلال
- التحليل القائم على البيانات مقابل التحليل القائم على التنبيه
- التصور القائم على الفرضيات
SEC503.6: مراقبة الشبكة المتقدمة واكتشاف التهديدات
تتوج هذه الدورة التدريبية ببرنامج عملي قائم على مراقبة الشبكة واكتشاف التهديدات والذي يمثل تحديًا وممتعًا. في هذه الدورة ، يتنافس الطلاب كأفراد أو في مجموعات للإجابة على الأسئلة المختلفة باستخدام الأدوات والنظريات التي يتعلمونها. استنادًا إلى ستة أقسام من بيانات العالم الحقيقي ، يتضمن التحدي التحقيق في حادث حساس للوقت. خلال حدث "الركو ب" هذا ، يجيب الطلاب على الأسئلة بناءً على تحليل البيانات نفسه الذي أجراه فريق من المحللين المحترفين.
الخط السفلي
من خلال الحصول على شهادة محلل التسلل GIAC ، يبرهن الممارسون على مراقبة الشبكة والمضيف وتحليل حركة المرور ومعرفتهم باكتشاف التسلل. مع شهادة GIAC GCIA ، يمكنك تكوين ومراقبة أنظمة الكشف عن التسلل وقراءة وتفسير وتحليل حركة مرور الشبكة وملفات السجل.
شهادة GCIA متاحة الآن. إذا كنت تبحث عن مركز اختبار الوكيل ، فقد وصلت إلى المكان الصحيح! فريق CBT Proxy هنا لمساعدتك في اجتياز الاختبار في محاولتك الأولى. الرجاء النقر فوق زر الدردشة أدناه للتحدث مع أحد مستشارينا حول الامتحان.